Privacy in rete: 10 regole per difenderla

Da Milano – Spesso quando si parla di privacy si punta molto l’attenzione sulle leggi che la difendono. In realtà i primi artefici della nostra riservatezza siamo noi stessi. Se vogliamo evitare intrusioni più o meno gravi dobbiamo semplicemente fare molta attenzione a quello che facciamo, specie nel “mondo digitale”.

Ecco un decalogo da seguire per evitare “cattive sorprese”.

1-Difendiamoci da noi stessi
- la prima minaccia alla nostra riservatezza siamo noi stessi;
-  spesso compromettiamo inconsapevolmente la riservatezza altrui;
-  primo errore: pensare che agli altri non interessi quello che facciamo.

2- Per la riservatezza degli altri
- tuteliamo la privacy degli altri (che è importante quanto la nostra) ;
- evitiamo quelle azioni che, pur non mettendo direttamente a rischio la propria privacy, comportano pericoli per quella dei conoscenti (es: dare liberamente indirizzi mail di amici o iscriverli a mailing-list e servizi internet senza il loro consenso) .

3 – Al computer è un errore:
-  usare windows per navigare in internet pensando che gli altri familiari non possano sapere quali siti andate a visitare (magari solo perché cancellate la history) ;
-  usare la stessa password per servizi diversi su host diversi;
-  usare strumenti come passport o gator;
-  mettere una password nel BIOS e, solo per questo, sentirsi al sicuro;
-  giocare online. Che dettaglio psicologico si può tirare fuori da una persona osservandola mentre gioca (tra le altre cose pensando di non essere vista)? ;
-  controllare che i documenti di tipo Office non contengano dati personali che di solito sono automaticamente inseriti nelle proprieta’ del documento;
-  lasciare condivisioni aperte a tutto il mondo con netbios.

4 – Un altro errore è usare sistemi di crittografia debole
- salvare le proprie password nel registro di windows pensando che siano al sicuro;
- proteggere con password i profili di programmi di posta che usano crittografia debole (outlook?) ;
- fidarsi del proprio amministratore di sistema;
- navigare su internet o inviare email dal computer dell’azienda pensando che nessuno sappia o legga.

5 – Come utenti
- entrando come utente su un sistema informatico il nome utente deve dare meno informazioni possibile sulla identità che voglio proteggere;
- i cookies si chiamano robertoalderighi@ads.wanadooregie:robertoalderighi@ads.wanadooregie>[1].txt
quindi se ti sei loggato con “robertoalderighi” come utente, è inutile firmarsi “Zorro”.

6 – La posta
- non cliccare sui link che arrivano con gli spam perché non sono link normali ma sono del tipo <http://bella.salamona.it/script.php?id=ASFRASE435waeaw43wa3>, ossia passano un id allo script, e penso proprio che sia unico per ogni email che inviano;
- non inviare messaggi con molti destinatari nei campi “A:” o “CC:”, ma mettili nel “BCC:”: non difende la privacy del soggetto che scrive, ma quella del destinatario che altrettanto inviolabile;
- non inserire i dati dei tuoi conoscenti nella rubrica del tuo pc. Spesso si ha una pazienza infinita nel fare cose dannose per gli altri… ;
- non cambiare il nome del destinatario nell’indirizzo di posta (esempio: se il mio amico Roberto usa gli indirizzi <zorro@tin.it> e <roberto.arrighi@libero.it>, non devo salvarli in rubrica come Roberto Arrighi <zorro@tin.it> e Zorro <roberto.arrighi@libero.it>, ma come
Zorro <zorro@tin.it> e Roberto Arrighi <roberto.arrighi@libero.it> ;
- se poi Zorro scrive in pubblico (cioè su una lista di discussione), non lo saluterò dicendo “Ciao Roberto” ma “Ciao Zorro”. Si risponde come l’altro si firma.

7 – Browser
- convincere il proprio browser/gestore di posta a non caricare immagini che non arrivino dal dominio che si sta visitando o dall’email aperta per evitare web-bugs;
- non fidarsi di quei siti che hanno una fase di autenticazione cifrata con https e poi rimandano ad una connessione in chiaro per lo scambio vero dei dati;
- attenti ai link su cui si clicca. La gente normalmente non distingue tra quello che c’è’ scritto nel link e il link vero a cui si riferisce la scritta. Quindi mai andare sul sito della propria banca passando da un link trovato su un altro sito;
- attenzione a link del tipo www.miabanca.com@216.217.21.13 <>, oppure al cross-site-scripting;
- gli header che il browser invia quando ci si connette ad una pagina indicano la pagina da cui si proviene (referer:), sono quelli che permettono di scrivere nei contatori il sito di provenienza. La conseguenza più semplice è che si invia una traccia di dove si è stati, quella più complicata (e che forse riguarda più i programmatori) è che si rischia che l’ultimo link visitato fosse qualcosa del tipo: http://www.banca.com/index.php?userid=ciccio&passwd=franco, che è peggio.

8- File sharing
- fare sempre molta attenzione ai programmi di sharing files: spesso richiedono la mail del soggetto, inutile dire che non è il caso di fornirla;
- non mettere mai in condivisione cartelle senza aver ben chiaro il loro contenuto e spostare i files scaricati ritenuti di interesse strettamente personale: da una visione anche sommaria dei files presenti su un hard disk si ottiene subito un quadro chiarissimo del profilo della persona che sta dall’altra parte del monitor.

9 – La firma di documenti, attenzione!
- due link sono particolarmente esplicativi: <http://www.interlex.it/testi/dm030320.htm> e
<http://www.sikurezza.org/ml/09_02/msg00054.html>. Il primo e’ il testo della legge sulla firma digitale, che cita: “I documenti digitali conformi devono essere prodotti con procedimento tecnico che dia garanzia della riproduzione fedele e duratura del contenuto dei documenti originali; tale procedimento potrà consistere sia nella memorizzazione digitale dell’immagine del documento analogico originale, sia nella riproduzione su file (in formato “PDF” o “TIF”)”, il secondo è un thread dove si parla del pericolo di firmare documenti con campi variabili (che, secondo il thread, possono essere inseriti anche nei PDF). Indipendentemente dal valore legale, firmare un oggetto strano, per esempio un binario, non lega la propria firma a quello che viene visualizzato.

10 – Social Network
Esistono due applicazioni che consentono di cercare i link agli album fotografici che dovrebbero essere nascosti, almeno secondo le speranze dell’autore.
Le due applicazioni in questione sono Photo Stalker e Seegugio e sono perfettamente legali, infatti non violano alcuna legge sulla privacy, si limitano a cercare quello che può essere visto e che l’utente, erroneamente, pensa che non sia accessibile.
Facebook, attraverso i suoi controlli sulla privacy, dà ad ogni utente la possibilità di nascondere le proprie informazioni. E fin qui è tutto normale. Molti approfittano di questa operazione e le informazioni contenute nelle rispettive pagine sono, in effetti, irraggiungibili. Il problema avviene con il caricamento degli album fotografici. Quando siete nel pannello Crea album, il campo Privacy “Chi può accedere?” (in corrispondenza del lucchetto) è impostato di default su Tutti. Per cambiare impostazione bisogna agire sul menu a tendina.
Quindi in realtà l’utente che ha una pagina “privata” mette on line delle foto pubbliche, spesso inconsapevolmente. I due software non fanno che cercare i link a queste foto: tutto perfettamente corretto.
C’è da dire che per bloccare la loro azione basta cambiare le impostazione di Facebook, cosa che sembra sia stata fatta in questi giorni dagli amministratori. Però siccome le API di Facebook sono pubbliche, ad ogni mossa seguirà una contromossa, quindi non ci si dovrà sorprendere troppo se in futuro saranno programmate applicazioni simili che sfruttano magari la disattenzione degli utenti.